Honda ma kłopot - hakerzy zdalnie odpalają samochody

Raport specjalistów od zabezpieczeń pokazuje, jak hakerzy mogą odblokować i uruchomić samochody Hondy, nawet zdalnie.

moto
Jakub Błażewicz11 lipca 2022
23

Źródło fot. powyżej: oficjalna strona firmy Honda.

Luka bezpieczeństwa w systemach komputerowych samochodów firmy Honda może umożliwić hakerom ich zdalne uruchamianie. Tak twierdzi badacz pracujący dla firmy Star-V Lab znany w sieci pod pseudonimem Kevin26000, który wraz z Wesleyem Li opublikował raport na temat odkrytego problemu.

Tzw. Rolling-PWN (w bazie danych organizacji MITRE skatalogowany jako CVE-2021-46145) został wykryty w dziesięciu najpopularniejszych modelach Hondy z lat 2012-2022 (patrz ramka poniżej). Zdaniem badaczy oznacza to, że luka jest obecna we wszystkich samochodach producenta.

Modele samochodów sprawdzone pod kątem podatności Rolling-PWN: Honda Civic 2012, Honda XR-V 2018, Honda CR-V 2020, Honda Accord 2020, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, Honda Civic 2022, Honda VE-1 2022, Honda Breeze 2022.

Kevin26000 uważa wręcz, że Rolling-PWN może być obecne w samochodach innych firm, co potencjalnie potwierdza raport innych badaczy. Jak czytamy, około 70% aut różnych producentów z Azji jest podatnych na podobny atak.

Rolling-PWN – jak to działa?

Luka wykryta przez Kevin26000 i Wesleya Li wykorzystuje funkcję otwierania samochodu bez kluczyka (RKE). Od dawna wiadomo, że hakerzy mogą przechwycić sygnał i spróbować odblokować auto tak zdobytym kodem. Dlatego właśnie producenci implementują system tzw. „skaczących kodów” (ang. hopping codes albo też rolling codes).

Przy każdym zablokowaniu i odblokowaniu samochodu komputer generuje losowy kod wysyłany drogą radiową do pojazdu. Co ważne, system ma zabezpieczenie, które zapobiega ponownemu wykorzystaniu użytych wcześniej sekwencji. W teorii eliminuje to ryzyko otworzenia auta przez hakerów.

Jednakże Kevin26000 i Li odkryli sposób na obejście tego zabezpieczenia. Badaczom udało się cofnąć (ang. roll back, stąd nazwa luki) wykorzystane już kody, by można było użyć ich ponownie. Oczywiście nie podzielono się szczegółami, ale na oficjalnej stronie Rolling-PWN zamieszczono filmiki, w których pokazano skuteczność luki w praktyce.

Co gorsza, hakerzy nie muszą być tuż przy samochodzie, by obejść zabezpieczenia. Kevin26000 potwierdził w rozmowie z serwisem Vice, że atak można przeprowadzić z odległości trzydziestu metrów.

Honda: to nic nowego

Skuteczność Rolling-PWN potwierdził też m.in. dziennikarz Rob Stumpf. Na razie nikt nie przetestował tego rozwiązania z samochodami innych producentów niż Honda – a przynajmniej nikt jeszcze nie podzielił się rezultatem.

Z kolei Lorenzo Franceschi-Bicchierai z Vice dowiedział się od Hondy, jakoby owa luka był znana od dawna. Choć przyznano, że firma nie ma „wystarczających informacji, by ocenić te znaleziska”, przedstawiciel spółki wyraził nadzieję, iż dziennikarze potraktują to jako stare wieści i „zajmą się czymś aktualnym, zamiast kreować kolejnych ludzi myślących, że to coś nowego”.

Nie ma też raczej co liczyć na jej załatanie. Jeszcze w marcu, w kontekście wcześniej odkrytej luki, przedstawiciele firmy oświadczyli (via Bleeping Computer), że Honda nie zamierza „łatać” systemów bezpieczeństwa w starszych modelach samochodów.

Jakub Błażewicz

Jakub Błażewicz

Ukończył polonistyczne studia magisterskie na Uniwersytecie Warszawskim pracą poświęconą tej właśnie tematyce. Przygodę z GRYOnline.pl rozpoczął w 2015 roku, pisząc w Newsroomie growym, a następnie również filmowym i technologicznym (nie zabrakło też udziału w Encyklopedii Gier). Grami wideo (i nie tylko wideo) zainteresowany od lat. Zaczynał od platformówek i do dziś pozostaje ich wielkim fanem (w tym metroidvanii), ale wykazuje też zainteresowanie karciankami (także papierowymi), bijatykami, soulslike’ami i w zasadzie wszystkim, co dotyczy gier jako takich. Potrafi zachwycać się pikselowymi postaciami z gier pamiętających czasy Game Boya łupanego (jeśli nie starszymi).

Nowa karta graficzna pod choinkę? Nvidia ostrzega przed niedoborami i wzrostem cen

Nowa karta graficzna pod choinkę? Nvidia ostrzega przed niedoborami i wzrostem cen

Komputery z AI nie przyspieszają pracy, ale Intel już wie, dlaczego

Komputery z AI nie przyspieszają pracy, ale Intel już wie, dlaczego

Microsoft subtelny jak zawsze. Przypomnienie o końcu wsparcia Windowsa 10 ciężko będzie przegapić

Microsoft subtelny jak zawsze. Przypomnienie o końcu wsparcia Windowsa 10 ciężko będzie przegapić

Fatalny upscaling i wymagane konto PSN potrafią skutecznie zepsuć zabawę. Recenzja techniczna LEGO Horizon Adventures

Fatalny upscaling i wymagane konto PSN potrafią skutecznie zepsuć zabawę. Recenzja techniczna LEGO Horizon Adventures

Gracz nie otrzymuje zapłaty za swoją pracę, a na koniec w „nagrodę” dostaje wysokiej klasy PC z RTX 4090

Gracz nie otrzymuje zapłaty za swoją pracę, a na koniec w „nagrodę” dostaje wysokiej klasy PC z RTX 4090